Redazione RHC : 27 julio 2025 09:53
¿Cómo se evalúan las vulnerabilidades de seguridad del software? ¿Es posible determinar su gravedad? ¿Cómo podemos determinar el orden de actualización del código en caso de múltiples vulnerabilidades?
Estas son solo algunas de las preguntas que debería plantearse al gestionar la seguridad de un sistema informático. Una posible solución consiste en una organización llamada FIRST (Forum of Incident Response and Security Teams) y una herramienta conocida por el acrónimo CVSS, o Sistema Común de Puntuación de Vulnerabilidades, ahora en su versión 4.0.
La historia del CVSS se remonta a 2005, cuando, tras aproximadamente dos años de estudio e investigación, el Consejo Asesor Nacional de Infraestructura (NCAI), un organismo asesor del presidente de los Estados Unidos de América, lanzó la versión 1.0. A esta le siguieron la versión 2.0 en 2007 y la 3.0 en 2015. La versión actual, la 4.0, se lanzó el 21 de octubre de 2023.
CVSS es un estándar técnico muy útil, pero como todo, no resuelve todos los problemas. Por ejemplo, no proporciona una medida de la probabilidad de que un atacante explote una vulnerabilidad, ya que no se determina exclusivamente por factores técnicos.
CVSS consiste en asignar una puntuación de 0 a 10 a cada vulnerabilidad identificada. La puntuación indica la gravedad de la vulnerabilidad, que es mayor cuanto mayor sea la puntuación.
La puntuación se asigna evaluando 30 factores diferentes, que para mayor comodidad y coherencia se agrupan en cuatro categorías: Base, Amenaza, Entorno y Suplementario, que se abrevian como B, T, E y S. Por lo tanto, cuando hablamos de CVSS-B, nos referimos al valor de CVSS calculado utilizando únicamente las métricas Base, y este es el caso en la mayoría de los casos.
La categoría (o métrica) Base contiene a su vez otras dos métricas: Explotabilidad e Impacto. La explotabilidad incluye las métricas que evalúan los requisitos para explotar con éxito la vulnerabilidad. El impacto, por otro lado, incluye métricas útiles para medir el impacto de la vulnerabilidad en cuestión en la tríada CIA (Confidencialidad, Integridad, Disponibilidad).
Como se mencionó, además de las métricas Base, existen otras tres categorías:
Naturalmente, CVSS 4.0 tiene muchas otras características interesantes que los más curiosos pueden encontrar en este estudio de Davide Ariu: Acerca del Sistema Común de Puntuación de Vulnerabilidades (CVSS) 4.0
Calcular el valor a partir de una vulnerabilidad conocida es relativamente sencillo utilizando la calculadora en línea, también proporcionada por FIRST. Experimentar permite apreciar realmente el nivel de detalle que ofrece CVSS y comprender en qué medida el valor real depende de las características específicas de la organización en cuestión.
Con lo dicho hasta ahora, solo hemos respondido parcialmente a la primera de las preguntas iniciales: cómo evaluar las vulnerabilidades de seguridad del software. Para intentar responder a las otras dos preguntas, debemos considerar la infraestructura de TI en cuestión, el entorno y los riesgos asociados. Por lo tanto, estas consideraciones son específicas de cada caso y no pueden generalizarse.
A menudo, durante el análisis de vulnerabilidades de un sistema informático corporativo, surgen decenas o cientos de vulnerabilidades, algunas conocidas, la mayoría desconocidas para el equipo de seguridad. Evaluar el riesgo asociado a cada vulnerabilidad individual y priorizar su resolución es una tarea difícil.
También debe tenerse en cuenta que este proceso suele estar fragmentado y se realiza manualmente, ya que no siempre es posible tener todos los datos disponibles y visibles con una sola herramienta, ni es fácil consolidarlos en un único contenedor para su análisis. Un último problema, pero no menos importante, se refiere a su visualización, que a menudo implica la creación de gráficos poco legibles.
También existen varios problemas prácticos relacionados con la identificación y mitigación de vulnerabilidades. En algunos entornos, no es posible ejecutar programas automáticos para analizar los sistemas, lo que requiere búsquedas manuales en dispositivos individuales. Los sistemas corporativos no siempre están actualizados ni admiten los cambios necesarios para mitigar las vulnerabilidades conocidas. En algunos casos, la funcionalidad (léase: operatividad) del sistema podría incluso verse comprometida, lo cual generalmente no es deseable. En definitiva, es necesario encontrar el equilibrio adecuado entre seguridad y operatividad.
En este punto, es importante destacar que también existen métodos para la gestión de vulnerabilidades basados en el riesgo específico al que se enfrenta una empresa u organización. Este enfoque tiene en cuenta la información relacionada con la vulnerabilidad de la parte afectada.
Para responder a estas nuevas preguntas, debemos considerar un nuevo acrónimo: CVE, que significa «Vulnerabilidades y Exposiciones Comunes». CVE es simplemente una lista de vulnerabilidades conocidas y es publicada por MITRE.
MITRE también mantiene una lista actualizada de Autoridades de Numeración de CVE (CNA), que son organizaciones autorizadas para asignar un número a una vulnerabilidad y publicarlo según un procedimiento bien definido. Estos CNA generalmente son proveedores de software e investigadores de seguridad, pero cualquiera puede solicitar asignar un número a una nueva vulnerabilidad. Cada CVE consta de un número de identificación, una breve descripción y referencias a los informes de vulnerabilidad.
La lista, en su versión actual, incluye 233.151 elementos diferentes.
Si pensaba que lo más difícil ya había pasado, ¡piénselo de nuevo!
Aún no hemos intentado responder a la que quizás sea la pregunta más importante: cómo determinar el orden de actualización del código en caso de una vulnerabilidad. ¿Múltiples?
Priorizar las vulnerabilidades requiere un conocimiento profundo de la organización y asignar un valor de riesgo según el impacto en la actividad principal de la empresa. En última instancia, las vulnerabilidades con una clasificación de riesgo más alta generalmente deberían tener mayor prioridad.
En este artículo, hemos visto algunos conceptos importantes que corresponden a los acrónimos CVSS y CVE, así como algunos procesos de gestión de seguridad, como la gestión de vulnerabilidades, incluida la gestión de vulnerabilidades específicas para cada riesgo.
Mi objetivo era demostrar la complejidad de estos conceptos y las operaciones que debe realizar el equipo de seguridad informática responsable de gestionar la seguridad de una organización.
Espero He podido ayudar. Tuve éxito.
«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...
El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...
En todo el Reino Unido, la gente está recurriendo a las redes privadas virtuales (VPN) con bloqueo de ubicación para eludir las nuevas normas nacionales sobre verificación de edad en l&...
Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 ...
El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...
Para más información: [email protected]